본문 바로가기

카테고리 없음

DAO 해킹 배경과 향후 전망



전직 이더리움 개발자며 Ethcore에서 상거래책임자(chief commercial officer, CCO)를 역임하고 있는 Kenneth Kappler는 기술매거진 Techworld를 통해 탈중앙화자치조직 DAO(Decentralized Autonomous Organization)에 대한 공격이 어떻게 이루어졌는지 그리고 미래 공격이 어떻게 방지될 수 있는지에 대해 설명했다. Kappler는 블록체인 기술 소개를 위해 마련된 London Tech Week 행사를 통해 이러한 내용을 발표했다. Etcore는 브라우저에 직접 연동되는 이더리움 클라이언트로 전직 이더리움 개발자들이 개발했으며 Parity라는 이름의 기업용 솔루션을 제공한다.


Kappler에 따르면 DAO 공격이 실행되기 전부터 DAO 코드의 문제는 이미 입증된 상태였다. 많은 사람들이 DAO가 애초 홍보된 대로 작동하지 않을 수 있으며 신규 코드로 투자금을 이전하기 위해 투표가 필요함을 인지하고 있었다. 코드를 재작성하고 다른 위치에 설치한 다음 투자금을 이전한다는 것이다. 하지만 커뮤니티에서 이러한 개선조치를 실행하기 전에 누군가가 DAO 코드를 악용하여 투자금을 빼돌릴 수 있는 방법을 찾아냈다. 해킹은 6월 17일 금요일 오전 4시경에 개시됐고 7시경 4500만 달러가 인출됐으며 이더(ether) 가격은 40% 하락했고 DAO 토큰 가격은 70% 떨어졌다. 개발자들은 해커 측에서 악용한 버그를 찾아냈으며 해커가 27일 이후 교환소 매각이 가능하도록 코딩된 스마트계약으로 투자금을 이전했기 때문에 문제에 대응할 시간이 있음을 알아냈다.


Kappler에 따르면 이번 해킹은 블록체인이 이를 사용하는 사람에 의존하기 때문에 블록체인기반 통화가 당초 주장된 대로 안전하지는 않음을 알려준 사례다. 새로운 블록체인을 구현하고 에를 네트워크에 구현하여 네트워크 측에서 이 새로운 블록체인으로 갈아타는지 관측할 수 있다. Kappler는 4년 전에도 이미 비트코인에서 유사한 상황이 있었다고 지적했다.


DAO를 해킹상황을 시정하기 위해 개발자들은 블록체인 롤백을 결정했다. DAO 롤백으로 인해 모든 거래가 롤백될 수 있는 상황이 올 수 있다는 우려도 없지 않았다. 개발자들은 DAO 공격자와 잔여 투자금에 대해 백색해킹을 실행하기로 결정했다. 이에 따라 네트워크에 교란용 거래가 대량 투입됐으며 이를 통해 원래 DAO로부터 투자금을 빼돌리기 위해 사용된 취약점과 동일한 취약점을 찾아낼 수 있었다. 그 결과 해커가 투자금을 보관한 스마트계약에 대한 해킹이 성공했다. 현재 투자금은 여러 위치에 분리돼 있으며 개발자들은 이 기회를 활용하여 DAO 소프트웨어에 변경을 가하고자 한다.


공개 블록체인은 본질상 사회적 구조물이며 커뮤니티의 인정을 받아야 하기 때문에 이러한 변경에 대한 결정은 쉽지 않다. 돈이 가치를 가지는 이유는 모두가 그 가치에 동의하기 때문이다. 사람들이 코드를 신뢰하지 않거나 코드가 조작됐다고 생각하는 등의 이유로 신용이 상실된다면 해당 시스템은 무너질 수밖에 없다. Kappler에 따르면 이러한 문제로 인해 비트코인에 대해서도 통화운용에 큰 영향이 없는 선에서 변경이 이루어졌다.


개발자들은 DAO에 관리제어수단을 포함시켜 이러한 해킹을 방지할 수 있는 여지를 마련할 수 있었다. 하지만 DAO는 어떤 시스템이 중앙제어 없이도 존재할 수 있는지에 대한 실험이었기 때문에 개발자들은 이를 원하지 않았다. DAO 해킹에 대한 해결방안은 결국 프로토콜을 강제로 바꾸고 해킹된 거래내역을 무효로 만드는 강제전환(hard fork)이 될 것이다.




Elliot Maras, Ex-Ethereum Developer: How the DAO Hack Happened And What Comes Next, 7. 30. 2016.

https://www.cryptocoinsnews.com/ex-ethereum-developer-dao-hack-happened-comes-next/


번역:  madfox




참고


<암호통화, 핀테크, 정보기술 블로그>

반응형